Vulnerabilidad de inyección SQL (SQLi) en Advantech iView

Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a Advantech iView, que permitiría a un atacante remoto autenticado realizar inyección SQL (SQLi) en el sistema afectado. 

La vulnerabilidad identificada como CVE-2023-3983, de severidad “Alta” y con puntuación asignada de 8.8. Esta vulnerabilidad de inyección SQL (SQLi) se debe a una falla de validación de entradas del usuario en Advantech iView. Esto permitiría a un atacante remoto autenticado realizar inyección SQL ciega (Blind SQLi) y omisión de las validaciones de seguridad en la función com.imc.iview.utils.CUtils.checkSQLInjection(), obteniendo de esta manera la contraseña de administrador y otras informaciones confidenciales del sistema afectado. 

El producto afectado es: 

• Advantech iView, versiones anteriores a 5.7.4 build 6752. 

Recomendamos acceder a la actualización correspondiente provista por el fabricante en el siguiente enlace: 

• https://www.advantech.com/en/support/details/firmware?id=1-HIPU-183 

Referencias: 

• https://www.incibe.es/incibe-cert/alerta-temprana/avisos-sci/vulnerabilidad-de-inyeccion-sql-en-advantech-iview 
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-3983 
• https://es-la.tenable.com/security/research/tra-2023-24 
• https://www.advantech.com/en/support/details/firmware?id=1-HIPU-183